jueves, 22 de mayo de 2014

ZDI informa de 0day en Internet Explorer 8 existente desde hace 7 meses

Zero Day Initiative ha publicado un aviso por una vulnerabilidad 0-day que podría permitir a atacantes remotos ejecutar código arbitrario en Internet Explorer 8. 

Según el aviso de ZDI se requiere la interacción del usuario para explotar la vulnerabilidad de tal forma que el usuario debe visitar una página maliciosa o abrir un archivo específicamente manipulado. El problema solo afecta a las instalaciones de Internet Explorer 8, que en la actualidad y a pesar de que ya tiene más de 5 años, aun tiene una cuota de en torno al 20% de los usuarios.

El fallo reside en un uso después de liberar en el tratamiento de objetos CMarkup. La asignación inicialmente se produce con CMarkup::CreateInitialMarkup. La liberación se realiza tras la ejecución de determinado código JavaScript seguida de una llamada a CollectGarbage. Mediante la manipulación de los elementos de un documento un atacante puede forzar que un puntero sea reutilizado tras ser liberado. Un atacante podría aprovechar esto para lograr la ejecución de código.

ZDI reportó a  Microsoft este problema el 11 de octubre del año pasado, Microsoft no confirmó la existencia de la vulnerabilidad hasta el 10 de febrero de este año. A primeros de mayo ZDI informó a Microsoft que iba a proceder a la publicación de la información, al haber transcurrido más de 180 días desde el anuncio a la compañía, cumpliendo de esta forma la política de divulgación de información de la propia ZDI.

La recomendación pasa por la actualización a un navegador más moderno y la instalación de EMET (Enhanced Mitigation Experience Toolkit). Esta herramienta combate las técnicas de evasión de DEP y ASLR y otros métodos de "exploiting" conocidos. EMET 3.0 y EMET 4.0 tienen soporte oficial de Microsoft. EMET es un programa de Microsoft gratuito, (solo disponible en lenguaje ingles) sencillo de manejar y de gran utilidad.

Más información:

(0Day) Microsoft Internet Explorer CMarkup Use-After-Free Remote Code Execution Vulnerability


Antonio Ropero
Twitter: @aropero

No hay comentarios:

Publicar un comentario en la entrada